Questão Por que eu verificaria meu download em uma soma de verificação fornecida por um site espelho?


Eu pensei que o ponto de distribuir checksums md5 era para que o usuário final pudesse verificar a integridade do download.

Se um site de alto tráfego me apontar para um site espelho para download, por que eu desejaria verificar meu download em uma soma de verificação fornecida no espelho?

Se alguém fosse mexer com binários no site espelho, eles também não poderiam adulterar as somas de verificação? O site autoritativo não deve me dar a verificação antes de eu fazer o download de um espelho para que eu possa verificar a fonte principal?


2


origem


Se eu não conseguir encontrar uma soma de verificação adequada em um site oficial, perguntarei a alguém que já a possui para pegar o hash para mim: P - Phoshi
Espere, você tem amigos que entendem o que é uma soma de verificação? Meus amigos me olhavam de forma engraçada e depois perguntavam se eu poderia fazer seu PC rodar rápido novamente depois de ter baixado um trojan de World of Warcraft. - Joe Holloway


Respostas:


Você está certo em sua expectativa.
Verificar isso exemplo no Apache.

E isto Referência do Ubuntu md5sum.

Em termos de segurança, os hashes criptográficos, como o MD5, permitem a autenticação de dados obtidos a partir de espelhos inseguros.
O hash MD5 deve ser assinado ou vir de uma fonte segura (uma página HTTPS) de uma organização da sua confiança.


4





bem, pelo menos lhe daria a confiança de que sua cópia é exatamente a mesma que no espelho.

tem razão, que tal informação é inútil se a fonte principal não fornecer essa soma de verificação


1





Geralmente, os espelhos éticos não querem ser interpretados como "spoof". Eles querem ser espelhos por causa da visibilidade entre outras vantagens.

Eles mostram somas de verificação como a fonte autoritária faz para dar a elas algum tipo de credibilidade: "ei, nós recomendamos que você verifique seus checksums como o site oficial diz!".

Eu acredito que este é o ponto de vista do espelho. Como usuário, costumo verificar com as duas fontes.


1





Bem, você pode verificar se o download foi concluído com sucesso - as somas de verificação não são apenas uma defesa contra adulteração maliciosa - elas também ajudam a verificar se um arquivo foi baixado completa e corretamente


1



Sempre achei que seria bom se o Firefox ou outros navegadores computassem uma soma de verificação para você. - Joe Holloway